Ivory Search WordPress 插件存在 XSS 漏洞影响 6 万多个站点

研究人员在超过6万个网站上安装的Ivory Search WordPress插件存在跨站攻击漏洞。

2021年3月28日，Astra安全威胁情报小组负责任地披露了Ivory Search中的一个漏洞，该Ivory Search索是一个安装在60,000多个站点上的WordPress搜索插件。攻击者可以利用此安全漏洞在受害者的网站上执行恶意操作。

Ivory Search-WordPress搜索插件允许其用户为其WordPress网站创建新的自定义搜索表单。

由Jinson Varghese领导的威胁情报团队最初于2021年3月28日与Ivory Search插件开发人员联系，并提供了全部披露细节。开发人员于2021年3月29日做出回应，确认了此漏洞及其影响。然后一天后，该补丁程序于2021年3月30日发布。

这是严重程度中等的XSS漏洞，影响了Ivory Search插件版本4.6.0及更低版本。因此，我们强烈建议立即将此插件更新为包含补丁程序4.6.1的最新版本。

如果您使用的是Astra Security Suite – WordPress防火墙和恶意软件扫描程序，则您的站点已受到此漏洞的保护。

Ivory Search中漏洞的时间表

• 2021年3月28日– Astra安全威胁情报小组发现并分析了该漏洞。
• 2021年3月28日–完整的漏洞披露信息已发送给Ivory Search插件的开发人员。
• 2021年3月29日– Astra Security收到了插件开发团队的回复，确认了该漏洞，并且还通知我们该补丁应该在几天内可用。
• 2021年3月30日–插件的修补程序版本发布。

“象牙搜索插件设置页面上的特定组件未正确验证，从而无法执行恶意JavaScript代码。攻击者可以利用此类漏洞执行恶意操作”，Jinson说。

如果您是Ivory Search插件的用户之一，则强烈建议您将插件更新为完全修补的版本4.6.1。

Astra Security Suite – WordPress安全插件可以帮助保护您的网站

Astra Security Suite – WordPress安全插件，是WordPress网站的首选安全套件。使用Astra Security Suite保护您的网站，您不必担心任何恶意软件，信用卡黑客，SQLi，XSS，SEO垃圾邮件，评论垃圾邮件，暴力破解和100多种威胁。从使用Astra Security的防火墙进行24 * 7全天候监控到按需的恶意软件扫描程序，Astra都可以完成所有工作。

如果您是WP插件或主题开发人员，则可以按照此DIY安全审核指南进行操作，以确保您的插件没有安全漏洞。